Privacy versus cameratoezicht
30
Privacy vs Cameratoezicht • Waar organisaties rekening mee moeten houden • 10 zaken die vaak mis gaan • 10 stappen om “in control” te komen
Transcript of Privacy versus cameratoezicht
Privacy vs Cameratoezicht
• Waar organisaties rekening mee moeten houden
• 10 zaken die vaak mis gaan
• 10 stappen om “in control” te komen
We hebben te maken met…
• Camera’s die ingezet worden om eigendommen te beschermen
• Organisaties die aan de privacy wetgeving moeten voldoen
• Camera’s die gehackt worden
Welke verantwoordelijkheid hebben bedrijven als het om cameratoezicht gaat?
De grootste verschillen…
Algemene verordening gegevensbescherming
• Vanaf 25 mei 2018 aantoonbaar voldoen • Uniforme privacywetgeving voor de EU• De Wet Bescherming Persoonsgegevens geldt dan niet meer
• Aantoonbaar maken dat de organisatie voldoet aan de wet • Verwerkingen van persoonsgegevens niet meer melden• Het verplicht worden van een Functionaris Gegevensbescherming • Het verplicht worden van Privacy Impact Assessments • Een verhoging van de boetes
Waar je rekening mee moet houden
Informatiebeveiliging
• Camera’s kunnen gehackt worden
• Camerasystemen zijn IT-systemen
• Camera’s bevatten servers, videorecorders zijn servers
• Wijzigen van de standaard instellingen (admin/admin)
• Het op afstand kunnen benaderen van de camera’s (via internet)
• Backdoors in professionele camerasystemen
Privacy
• Gerechtvaardigd belang
• Noodzaak cameratoezicht
• Bruikbaarheid van de beelden
• Heimelijk cameratoezicht
• Privacy Impact Assessment (PIA)
• Informatieplicht cameratoezicht
• Bewaartermijn camerabeelden
• Bewerkersovereenkomsten
• Verhoging van de boetes
Gerechtvaardigd belang
Wat is het belang?
De bescherming van de veiligheid een of meer natuurlijke personen, de beveiliging van de toegang tot gebouwen en terreinen en/of de bewaking van zaken die zich in gebouwen of op terreinen bevinden.
Niet meer vastleggen dan voor dat doel noodzakelijk is
Noodzaak cameratoezicht
Wat is de noodzaak?
Cameratoezicht mag niet op zichzelf staan. Het moet onderdeel zijn van een totaalpakket aan maatregelen.
Kan het doel op een andere manier bereikt worden, die minder ingrijpend is voor de privacy?
Bruikbaarheid van de beelden
Wat wil je met de beelden?
Voor welk doel moeten de beelden bruikbaar zijn:
• Observeren
• Detecteren
• Herkennen
• Identificeren
En welke kwaliteit heb je daarvoor nodig?
Heimelijk cameratoezicht
Mag je verborgen camera’s gebruiken?
Alleen:
• Onder strikte voorwaarden
• Altijd tijdelijk
• Als er vooraf op gewezen is
• Als het vooraf gemeld is bij de Autoriteit die toetst of het voldoet
• Als betrokkenen achteraf geïnformeerd worden
Privacy Impact Assessment (PIA)
Wat leg je vast in een PIA:
• De verwerkingen en hun doelen
• De noodzakelijkheid, proportionaliteit en subsidiariteit
• De risico’s
• De maatregelen (inclusief informatiebeveiliging)
Een PIA dwingt je om na te denken over de inzet van cameratoezicht
Informatieplicht cameratoezicht
Zorg ervoor dat klanten, bezoekers en personeel vooraf (dus in principe voor zij het gebouw betreden) weten dat er cameratoezicht is:
• Bordjes
• Duidelijk zichtbare camera’s
• Goedkeuring van de Ondernemingsraad
Zijn de betrokkenen vooraf voldoende geïnformeerd?
Bewaartermijn camerabeelden
• Niet lange bewaren dan strikt noodzakelijk (richtlijn: 4 weken)
• Bij een incident beelden bewaren tot incident is afgehandeld
• Leg vast wie de beelden terug mag kijken
Hoe lang bewaar je de beelden?
Hoe weet je zeker dat ze daarna vernietigd worden?
Bewerkersovereenkomsten
Beoordeel of de maatregelen in contracten met bewerkers nog toereikend zijn en stel bewerkersovereenkomsten op
Voor cameratoezicht bijvoorbeeld:
• Bewakers
• Particuliere Alarm Centrale
• Installateur
Wie mag wat met de beelden?
Verhoging van de boetes
Was
• € 816.000 of 10% van de (in Nederland gerealiseerde) omzet
Wordt
• € 20.000.000 of 4% van de totale wereldwijde jaaromzet
Meldplicht datalekken
Sinds 1 januari 2016 geldt de meldplicht datalekken:
• Direct melding maken bij de Autoriteit Persoonsgegevens zodra er een ernstig datalek is
• Het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt)
Heb jij al een procedure voor het melden van camerabeelden die gelekt zijn?
10 zaken die vaak mis gaan
1. Het ontbreken van een camerareglement
2. Het gerechtvaardigd belang is niet vastgelegd
3. De noodzakelijkheid, proportionaliteit en subsidiariteit zijn niet afgewogen
4. Er wordt niet duidelijk gemaakt dat er cameratoezicht plaatsvindt
5. Beelden worden langer bewaard dan strikt noodzakelijk
6. Er wordt meer opgenomen dan voor het gerechtvaardigd belang noodzakelijk is
7. Ongeautoriseerde personen hebben inzicht in de beelden
8. De beveiliging van het camerasysteem is niet op orde
9. Camerasystemen worden niet (goed) beheerd
10. Er zijn geen verwerkersovereenkomsten opgesteld
Info
rmatieb
eveiliging
10 stappen om “in control” te komen
1. Bewustwording
2. Rechten van betrokkenen
3. Overzicht verwerkingen
4. Privacy Impact Assessment
5. Privacy by design & bydefault
6. Functionaris gegevensbescherming
7. Meldplicht datalekken
8. Bewerkersovereenkomsten
9. Leidende toezichthouder
10. Toestemming
1: Bewustwording
Breng de nieuwe privacyregelsonder de aandacht van sleutelfiguren en beleidsmakers van de organisatie. Maak een inschatting van de gevolgen van de AVG voor de processen en systemen. Breng in kaart wat de benodigde menskracht en middelen zijn voor de implementatie van de privacyregels.
2: Rechten van betrokkenen
Onder de AVG krijgen de mensen van wie persoonsgegevens verwerkt worden meer en verbeterde privacyrechten. De organisatie moet zich daarop voorbereiden zodat er op tijd en op de juiste manier op verzoeken wordt reageert.
Denk daarbij aan bestaande rechten, zoals het recht op inzage en het recht op correctie en verwijdering. Maar houd ook rekening met nieuwe rechten, zoals het recht op dataportabiliteit. Bij dit recht moet de organisatie ervoor zorgen dat betrokkenen hun gegevens makkelijk kunnen krijgen en vervolgens kunnen doorgeven aan een andere organisatie als ze dat willen.
3: Overzicht verwerkingen
De AVG introduceert een registratieplicht voor alle verwerkingen van persoonsgegevens.
Gedocumenteerd moet worden welke persoonsgegevens er verwerkt worden, met welk doel, waar deze gegevens vandaan komen en met wie ze gedeeld worden.
In het overzicht dient ook per categorie van gegevens vermeld te worden op basis van welke wettelijke grondslag deze gegevens verwerkt worden.
NB: de grondslagen in de AVG zijn grotendeels hetzelfde als die in de huidige WBP.
4: Privacy Impact Assessment
Onder de AVG is de organisatie verplicht een zogeheten Privacy Impact Assessment (PIA) uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen.
Geadviseerd wordt om per systeem een PIA uit te voeren conform: Privacy Impact Assessment (PIA) Introductie, handreiking en vragenlijst Versie 1.2 - November 2015 van het Norea: De beroepsorganisatie van IT-Auditors
(link: https://www.norea.nl/download/?id=522)
5: Privacy by design & by default
Maak de organisatie nu al vertrouwd met de onder de AVG verplichte uitgangspunten van privacy by design en privacy bydefault en ga na hoe deze beginselen binnen de organisatie kunnen worden ingevoerd.
Privacy by design houdt in dat er al bij het ontwerpen van producten en diensten zorg voor gedragen dat persoonsgegevens goed worden beschermd.
Privacy by default houdt in dat je technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat je, als standaard, alleen persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat je wil bereiken.
6: Functionaris Gegevensbescherming
Onder de AVG kunnen organisaties verplicht zijn om een Functionaris Gegevens-bescherming (FG) aan te stellen. Zo is zeker dat iemand in de organisatie toeziet op de naleving van de AVG en dat de kennis en bevoegdheden aanwezig zijn dit te doen. De FG rapporteert aan de hoogste leidinggevende.
7: Meldplicht datalekken
De meldplicht datalekken blijft onder de AVG grotendeels hetzelfde. De AVG stelt wel strengere eisen aan de registratie van de datalekken die zich in de organisatie hebben voorgedaan. Alle datalekken moeten gedocumenteerd worden.
Met deze documentatie moet de Autoriteit Persoonsgegevens kunnen controleren of de organisatie aan de meldplicht heeft voldaan. Dit gaat verder dan de huidige protocolplicht uit de WBP, die alleen betrekking heeft op de gemelde datalekken.
8: Bewerkersovereenkomsten
Voor gegevensbewerkingen die uitbesteed zijn aan zogenaamde verwerkers moeten bewerkersovereenkomsten worden opgesteld en voor de bestaande contracten met deze verwerkers moet gecontroleerd worden in hoeverre deze toereikend zijn en voldoen aan de vereisten in de AVG.
9: Leidende toezichthouder
Heeft jouw organisatie vestigingen in meerdere EU-lidstaten? Of hebben de gegevensverwerkingen in meerdere lidstaten impact? Dan hoef je onder de AVG nog maar met een privacytoezichthouderzaken te doen.
Dit wordt de leidende toezichthouder genoemd. Geldt dit voor jouw organisatie, bepaal dan onder welke privacytoezichthouder je valt.
10: Toestemming
Voor sommige gegevensverwerkingen is toestemming nodig van de betrokkenen. De AVG stelt strengere eisen aan toestemming. Evalueer daarom de manier waarop toestemming is gevraagd, gekregen en geregistreerd.
Nieuw is dat moet kunnen worden aangetoond dat er toestemming van mensen is verkregen om hun persoonsgegevens te verwerken. En dat het voor mensen net zo makkelijk moet zijn om hun toestemming in te trekken als om die te geven.
En als je het zeker wilt weten
Door de volgende 5 stappen te zetten kun je aantoonbaar maken dat je voldoet aan de Algemene Verordening Gegevensbescherming:
1. Voer een compliance check uit (gebruik daar deze presentatie voor)
2. Voer een Privacy Impact Assessment uit
3. Stel een privacyreglement op
4. Zorg voor verwerkersovereenkomsten
5. Informeer de Functionaris Gegevensbescherming over het feit dat jouw gegevensverwerking valt onder de AVG en betrek hem/haar erbij
Thimo Keizer
Vragen?
https://www.linkedin.com/in/thimokeizer/
Hopelijk kun je met deze presentatie in de hand al grote stappen zetten in het voldoen aan de AVG
Wil je deze presentatie binnen jouw organisatie laten geven? Of heb je ondersteuning nodig?
Neem gerust contact met me op
https://www.linkedin.com/pulse/avggdpr-hoe-je-5-stappen-voor-cameratoezicht-maakt-dat-thimo-keizer
https://www.linkedin.com/pulse/cameratoezicht-10-zaken-die-vaak-mis-gaan-thimo-keizer
Meer weten? Kijk ook eens naar deze blogs op LinkedIn
